Logo journal du hacker middle
  1. 1

    Salut, il y a une petite erreur ici, je cite :

    Les images construites et téléchargées par Podman sont au même standard que celle de Docker ou tout autre système de containers standard.

    • podman build au format OCI v1.0 avec --format oci (option par défaut), tout comme buildah, et il possible de builder au format docker manifest v2 avec --format docker.
    • docker build au format docker manifest v2.

    Il est par exemple impossible impossible d’envoyer des images au format docker sur zot, seules les images au format OCI sont acceptées.

    https://docs.podman.io/en/stable/markdown/podman-build.1.html

    1. 1

      Salut, concernant ta partie Utilisation de ports SSH autres que 22, c’est pas tout a fait vrai, et je pense qu’il serait préférable de simplement le préciser sur l’inventaire :

      [vms]
      localhost ansible_connection=local
      192.168.1.7
      192.168.1.12
      192.168.1.17
      
      ### EXT ###
      #VPNAccess
      vpnaccess ansible_port=2203 ansible_host=xxx.xxx.xxx.xxx
      
      #Wazuh
      wazuh ansible_port=2200 ansible_host=xxx.xxx.xxx.xxx
      
      #Webhost
      webhost ansible_port=2204 ansible_host=xxx.xxx.xxx.xxx
      
      1. 1

        Comme écrit dans l’article, Semaphore ne reconnait pas la variable ansible_port= comme pas mal d’autres dans les inventaires.

        1. 1

          J’utilise semaphore aussi, et la syntaxe est propre à ansible et non à semaphore.
          Mon inventaire est stocké dans un dépot git, mais avec un inventaire de type local ça fonctionne aussi (testé à l’instant).

      1. 3

        Hello.

        Je fais de même concernant la sécurité, je fais en sorte de pousser le hardening au détriment des utilisateurs.

        Si l’utilisateur utilise IE ou une vieille version d’un navigateur, tant pis pour lui, de même pour les hacks CSS, je n’en mets pas.

        Cependant j’aurais conseillé ECC au lieu de RSA (même en 4096), et plus précisément EC-256, ou au maximum EC-384, car si supérieur c’est encore trop mal supporté.

        A noter que Caddy, par défaut porte une configuration TLS quasi parfaite, si ce n’est parfaite en terme de compromis : https://caddyserver.com/docs/caddyfile/directives/tls

        Un autre point non abordé concerne les headers, qui sont tout aussi importants, je te laisse voir ta note ici : https://securityheaders.com/
        Peut-être le sujet d’un prochain article ?

        1. 2

          Merci pour tes conseils ! C’est fait pour le rajout des headers sur mon blog, ton site de test est top. J’ajouterais une note en fin d’article concernant cela, c’est très important tu as raison. Je ne pense pas ajouter une section car ça dépasse le simple cadre de “TLS” je trouve, même si c’est tout aussi important.

          Pour Lets Encrypt, j’avais hésité car pour EC-256 j’avais trouvé ce post ( https://community.letsencrypt.org/t/why-is-the-nsa-deprecating-p256-ecdhe/142096 ) et EC-384 ne semble pas supporté aussi largement que RSA ? RSA4096 me paraissait un bon compromis. Mais ça évolue très vite dans ce domaine, je vais me renseigner si en effet EC-384 n’est pas plus pertinent aujourd’hui, auquel cas je modifierai ma recommandation dans l’article.

        1. 1

          Tu peux être relativement serein avec ta configuration.

          De mon côté j’utilise BorgBackup depuis un moment, mais j’utilise aussi Kopia depuis environ 6 mois en complément.

          1. 2

            Salut, il y a un commentaire sur ton blog qui est une pub déguisée pour N#!rdVPN, tu fais ce que tu veux mais je le supprimerais si c’était moi. Il va falloir que je test à l’occasion de l’installer en remplacement d’OpenVPN.

            1. 1

              J’ai hésité entre un spam et un avis très maladroit, mais effectivement, j’ai fais des recherches et je suis tombé sur des commentaires beaucoup trop similaires sur d’autres blogs pour que ça soit une coïncidence… merci pour le signalement :)

            1. 1
              $ copier-coller
              copier-coller: command not found
              
              1. 2

                Une erreur dans l'article, le moteur de rendu n'est pas Gecko mais GeckoView.

                1. 1

                  Si je ne m'abuse GeckoView utilise aussi le moteur de rendu Gecko puisque GeckoView c'est Gecko plus de l'enrobage pour le rendre utilisable par d'autres applis android.

                1. 1

                  Salut, le lien est mort.

                  1. 1

                    Salut, le lien est mort.

                    1. 1

                      Salut, erreur de configuration, le site est de nouveau dispo

                      1. 1

                        wouah, trop bizarre ! merci pour le signalement o/

                    1. [Comment removed by author]

                      1. 3

                        À cette occasion. Lorsque j'ai publié “Linux aux petits oignons” en 2009, je me suis fait salement incendier sur LinuxFR.org parce qu'il y avait pas “GNU/Linux” dans le titre. Un de ces talibans du libre est même allé jusqu'à m'écrire un mail à rallonge pour m'expliquer la gravité de mon manquement. J'ai transféré le mail à la directrice de collection chez Eyrolles, et elle lui a répondu directement. En le remerciant infiniment pour sa perspicacité, et en l'informant qu'Eyrolles allait procéder de ce pas à la destruction des 3.000 exemplaires imprimés.

                        J'adore mon éditeur. :o)

                        1. 1

                          J'en connais un qui dit lignux, en plus, ce même mec termine toujours son blabla par un “Tcho !”. Hérésie.

                          1. 1

                            Donne son nom, je propose une lapidation en place publique !

                            Tchoum !

                            1. 1

                              Mystère et boule de gomme.

                      1. 1

                        Salut, je l'utilise au quotien couplé à st.
                        Merci pour le partage ;)

                        1. 2

                          Salut, ou plus simple et officiellement supporté : SCL : yum install centos-release-scl

                          Plus d'infos : https://wiki.centos.org/AdditionalResources/Repositories/SCL

                          1. 1

                            Oui, je sais. Mais y'a pas tous les modules qu'il me faut.

                          1. 2

                            Salut, merci pour le retour d'experience, mais une chose me tracasse : kill -9

                            Ce serait une bonne chose de ne plus véhiculer cette mauvaise pratique, il faut préférer un kill (default -15), kill -3, etc jusqu'au moment où peut-être on a plus le choix et on termine par un -9 en prenant conscience de la gravité que peut avoir cette commande (mémoire, sockets, ,fd, tmp, lck, etc).

                            1. 2

                              Non seulement je plussoie, mais j'ajouterais qu'un kill -9 sur un serveur MySQL, ça s'appelle une roulette russe. T'as une probabilité non-nulle de flinguer complètement la base de données (parfois même au point d'empêcher MySQL de (re)démarrer), et de devoir sortir les backups…

                              Et oui, c'est du vécu.

                            1. 1

                              Je me disais bien :

                              Erreur : Cette info a déjà été proposée il y a 3 heures

                              1. 1

                                T'es pas assez rapide hé hé.

                                Tcho !

                              1. 1

                                Hello, merci cascador, Effectivement erreur dans la config apache suite au renouvellement du certificat.

                                Normalement c'est bon.

                                Désolé ^^ .

                                1. 1

                                  Salut Hedilenoir, il est 01h36 et ce n'est toujours pas bon.

                                  J'ai tenté de laisser un commentaire sur ton site mais lorsque je valide, je n'ai aucune confirmation et ça me renvoie sur la page.

                                  Voici le commentaire que je voulais mettre sur ton site :

                                  Salut,

                                  je te conseille d'utiliser goaccess pour analyser tes logs Apache/Nginx. De plus, il peut utiliser les base de données GeoIP.

                                  Je l'utilise dans un container dans lequel il a été compilé avec l'option “–enable-geoip=mmdb” et j'utilise la base de données suivante : https://geolite.maxmind.com/download/geoip/database/GeoLite2-City.mmdb.gz

                                  Sinon :

                                  1. Tu veux sans doute parler de Matomo et non Matomoto
                                  2. Il ne s'agit pas d'une solution de supervision mais d'un outil de mesure de statistiques web (web analytics)
                                  3. en complément de traceroute, voici 2 commandes qui font la même chose ou plus : tracepath (contenu dans iputils) et mtr (plus complet)
                                  1. 1

                                    Je confirme ce que dit Tetsumaki, toujours l'erreur de mon côté. Je précise que je comptais t'envoyer un mail, pas eu le temps.

                                    Tcho !

                                  1. 1

                                    Salut, tu es sûr de ça ?

                                    Je n'utilise plus OpenWrt (mais je compte bien y revenir) étant donné que je suis passé du VDSL 2 (Orange) à la fibre (SFR, pas le choix, rien d'autre, pas taper) mais j'avais gardé une sauvegarde de ma configuration avec laquelle je n'ai jamais eu de problème (192.168.1.2 Unbound) :

                                    config interface 'wan'
                                        option macaddr 'xx:xx:xx:xx:xx:xx'
                                        option ifname 'ptm0.835'
                                        option proto 'pppoe'
                                        option username 'fti/xxx'
                                        option password 'xxx'
                                        option ipv6 '0'
                                        option peerdns 0
                                        option dns '192.168.1.2'
                                    
                                    1. 2

                                      Remplacez --generate-key par --full-gen-key si vous utilisez GnuPG 2.x, et n'oubliez pas de relancer gpg-agent car dans la procédure, Testumaki renomme le répertoire .gnupg, ce qui fait que l'agent est perdu…

                                      1. 1

                                        Salut,
                                        C'est étonnant, j'utilise la version 2.2.4 et les 2 arguments fonctionnent.
                                        On m'a signalé ce problème plusieurs fois, je mets à jour.
                                        Je mets aussi à jour pour gpg-agent.
                                        Merci.

                                      1. 1

                                        L'article est réservé aux abonnés.

                                          1. 1

                                            Je viens de voir ton commentaire presque 2 ans après, d'ailleurs il est où ton “Tcho !” ?

                                            1. 1

                                              (Je l'ai pas mis pour te faire parler.)

                                              (Tcho !)

                                          1. 2

                                            Purée un bon article et remonté tout seul comme un grand, tu m'étonnes qu'il fasse un temps pourri ! Hé hé hé

                                            Tcho !

                                            1. 1

                                              J'avais peur que tu le fasses et que tu le tagues dans la catégorie humour.

                                              1. 1

                                                Je n'aurais pas pu le mettre dans cette catégorie malheureusement… j'ai bien cherché dans ton article j'ai rien à critiquer ! Du coup ça a flingué ma journée ;p

                                                Tcho !